• Gerenciamento de endereço IP (IPAM) – Redes e endereços IP, VRFs e VLANs
• Racks de equipamentos – Organizados por grupo e local
• Dispositivos – Tipos de dispositivos e suas instalações
• Conexões – Rede, console e conexões de energia entre dispositivos
• Virtualização – Máquinas virtuais e clusters
• Circuitos de dados – Circuitos e fornecedores de comunicações de longa distância
• Segredos – Armazenamento criptografado de credenciais sensíveis

Requisitos:
Instalação do Debian 12 Bookworm

Para tornar-se root corretamente, utilize o comando abaixo com o sinal de hífen.

su -

Instale os pacotes necessários que são pré-requisitos para a instalação do NetBox.

# apt install gcc vim net-tools wget redis-server supervisor\
  postgresql-contrib postgresql libpq-dev \
  python3 python3-pip python3-venv python3-dev\
  build-essential libxml2-dev libxslt1-dev\
  libffi-dev libssl-dev zlib1g-dev graphviz\
  nginx redis python3-setuptools python3-gunicorn

Faça login como usuário postgres para criar o banco de dados necessário.

# su - postgres

Acesse o terminal do postgres com o comando a seguir:

$ psql

Altere a senha conforme necessário.

postgres=# CREATE DATABASE netboxdb;
postgres=# CREATE USER netboxuser WITH PASSWORD 'sua_senha';
postgres=# GRANT ALL PRIVILEGES ON DATABASE netboxdb TO netboxuser;
postgres=# ALTER USER netboxuser WITH SUPERUSER;
postgres=# \q

Verifique se o serviço redis está funcionando corretamente.

$ redis-cli ping

Deverá retornar: PONG

Volte ao usuário root.

exit

Prossiga com o download do projeto NetBox verificando se há uma nova versão disponível no GitHub. Acesse o diretório temporário, faça o download do NetBox, extraia o arquivo, mova para o diretório correto e ajuste as permissões.

# cd /tmp
# wget https://github.com/netbox-community/netbox/archive/refs/tags/v3.7.4.tar.gz
# tar vxf v3.7.4.tar.gz
# mv netbox*/ /opt/netbox
# cd /opt/netbox/
# chown www-data: /opt/netbox/netbox/media/ -R

Gere a SECRET KEY que será usada posteriormente.

# /opt/netbox/netbox/generate_secret_key.py 

Exemplo:

T7TE07O$j^Jqf9(*20q8M5kG4%NBIci#gEEn0$wuw*qodT7Lfo

Copie e ajuste o arquivo de configuração com suas informações.

# cp /opt/netbox/netbox/netbox/configuration_example.py /opt/netbox/netbox/netbox/configuration.py
# vim /opt/netbox/netbox/netbox/configuration.py

Edite o arquivo de configuração como no exemplo a seguir:

ALLOWED_HOSTS = ['localhost','netbox.remontti.com.br']

DATABASE = {
    'NAME': 'netboxdb',
    'USER': 'netboxuser',
    'PASSWORD': 'sua_senha',
    'HOST': 'localhost',
    'PORT': '',
    'CONN_MAX_AGE': 300,
}

SECRET_KEY = 'T7TE07O$j^Jqf9(*20q8M5kG4%NBIci#gEEn0$wuw*qodT7Lfo'

LOGIN_REQUIRED = True

Proceda com a instalação executando:

# /opt/netbox/upgrade.sh

Crie um usuário administrador para o NetBox com o seguinte comando:

# source /opt/netbox/venv/bin/activate
(venv) # python3 /opt/netbox/netbox/manage.py createsuperuser
Username: remontti
Email address: noc@remontti.com.br
Password: xxxx
Password (again): xxxxx
Superuser created successfully.
(venv) # deactivate

Configure o servidor web (nginx) e inicie os serviços do NetBox.

# cp /opt/netbox/contrib/gunicorn.py /opt/netbox/gunicorn.py
# cp /opt/netbox/contrib/*.service /etc/systemd/system/
# sed -i 's/User=netbox/User=root/' /etc/systemd/system/netbox*.service
# sed -i 's/Group=netbox/Group=root/' /etc/systemd/system/netbox*.service
# systemctl daemon-reload
# systemctl enable netbox netbox-rq netbox-housekeeping
# systemctl start netbox netbox-rq netbox-housekeeping
# systemctl status netbox netbox-rq

Configure o nginx removendo o arquivo default e criando um novo arquivo de configuração.

# rm /etc/nginx/sites-enabled/default
# vim /etc/nginx/sites-available/netbox.conf

Insira a configuração necessária no arquivo `netbox.conf` do nginx.

server {
    listen 80;
    listen [::]:80;
 
    server_name netbox.remontti.com.br;

    client_max_body_size 25m;
 
    location /static/ {
        alias /opt/netbox/netbox/static/;
    }
 
    location / {
        proxy_pass http://localhost:8001;
        proxy_set_header Host $http_host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

Crie um link simbólico para ativar a configuração do nginx e reinicie o serviço.

# ln -s /etc/nginx/sites-available/netbox.conf /etc/nginx/sites-enabled/
# systemctl restart nginx

Acesse seu NetBox pelo navegador em “https://netbox.remontti.com.br/” ou “https://ip/” e faça login com a senha criada.

Instale o plugin topology-views.

# source /opt/netbox/venv/bin/activate
(venv) # vim /opt/netbox/netbox/netbox/configuration.py

Configure o plugin `netbox_topology_views` no arquivo de configuração.

PLUGINS = ["netbox_topology_views"]

PLUGINS_CONFIG = {
    'netbox_topology_views': {
        'static_image_directory': 'netbox_topology_views/img',
        'allow_coordinates_saving': True,
        'always_save_coordinates': True
    }
}

Conclua a instalação do plugin e atualize as configurações.

(venv) # cd /opt/netbox/netbox
(venv) # pip3 install netbox-topology-views
(venv) # python3 manage.py migrate netbox_topology_views
(venv) # python3 manage.py collectstatic --no-input
# deactivate
# systemctl restart netbox netbox-rq netbox-housekeeping

Agradecimentos e convite para doação:
Se quiser fazer uma doação para o café, ficarei muito feliz pelo seu reconhecimento!

Participe do canal no telegram para ficar sempre atualizado. Agradeço por qualquer feedback nos comentários ou contato direto.

Fonte: Documentação Oficial do NetBox

O post Instalação e Configuração do NetBox no Debian 12: Guia Completo apareceu primeiro em Remontti.

Neste tutorial, abordaremos a configuração de uma Zona de Política de Resposta DNS (RPZ) com o objetivo de simplificar a resolução de nomes alterados, especialmente quando lidamos com escalas substanciais. Nosso objetivo é bloquear milhares de domínios de forma eficiente, minimizando o consumo de recursos de hardware em nosso servidor.

Não abordarei a instalação do BIND neste momento, pois já disponibilizamos um tutorial completo em nosso blog, que pode ser acessado através do seguinte link:
Servidor DNS Bind9 (Debian 12).

Para configurar sempre que um domínio bloqueado for resolvido pelo seu DNS em um IP da sua rede, você precisará criar um subdomínio no seu servidor DNS autoritativo. No arquivo de configuração dos seus hosts irei criar um subdomínio chamado bloqueadonobrasil, vejamos um exemplo:

# vim /var/cache/bind/master-aut/remontti.com.br/remontti.com.br.hosts

Exemplo “bloqueadonobrasil“, ou então apontando para os IPs de localhost mesmo 127.0.0.1 e ::1 onde neste caso se o usuário acessar o domínio bloqueado simplesmente não irá abrir nada.

//...
bloqueadonobrasil       A       x.xx.xxx.x
                        AAAA    xxxx:xxxx:xxxx::y
//...

DNS PRIMÁRIO (MASTER)

Agora crie uma zona chamada rpz.zone em seu /etc/bind/named.conf.local. em allow-transfer e also-notify informe os IPs de seus servidores Slaves.

# vim /etc/bind/named.conf.local

zone "rpz.zone" {
        type master;
        file "/var/cache/bind/rpz/db.rpz.zone.hosts";
        allow-query { none; };
        allow-transfer { 10.51.51.3; };
        also-notify { 10.51.51.3; };
};

Vamos criar o diretório “rpz” e os arquivos de hosts que serão bloqueados.

# mkdir /var/cache/bind/rpz/

Criarei um atalho em /etc/bind para facilitar o acesso da pastar também.

# ln -s /var/cache/bind/rpz/ /etc/bind/rpz

Entendendo como os domínios são bloqueados. A seguir, apresentamos um exemplo do arquivo que servirá como base para o nosso próximo script a seguir:
Nome do arquivo: /var/cache/bind/rpz/db.rpz.zone.hosts

$TTL 1H
@       IN      SOA LOCALHOST. bloqueadonobrasil.remontti.com.br. (
                2024012201      ; Serial  
                1h              ; Refresh
                15m             ; Retry
                30d             ; Expire 
                2h              ; Negative Cache TTL
        )
        NS  bloqueadonobrasil.remontti.com.br.
;       ou
;       NS  localhost.
 
sitequeprecisabloquear.com     IN CNAME .
*.sitequeprecisabloquear.com   IN CNAME .
elesmandamnosfaz.bo.bo         IN CNAME .
*.elesmandamnosfaz.bo.bo       IN CNAME .

Sendo que para cada domínio que será bloqueado, o mesmo será adicionado:

sitequeprecisabloquear.com        IN CNAME .
*.sitequeprecisabloquear.com      IN CNAME .

Assim qualquer subdomínio (*).domino.com seja traduzido sempre irá ser apontado para seu IP ou localhost.

Antes de criar o script, ajuste o response-policy dentro do seu /etc/bind/named.conf.options

# vim /etc/bind/named.conf.options

Deve ficar dentro de options { … } adcione:

options {
//...
    response-policy {
      zone "rpz.zone" policy CNAME bloqueadonobrasil.remontti.com.br;
    };
//...

Ou se você irá apontar para localhost use:

options {
//...
    response-policy {
      zone "rpz.zone" policy CNAME localhost;
    };
//...

Script AnaBlock

Para simplificar nossa tarefa, criaremos um script que utiliza o site https://anablock.net.br, uma plataforma desenvolvida por Patrick Brandão da Nuva. Ele projetou uma página abrangente que oferece todas as informações necessárias para acompanhar os bloqueios de conteúdo regulados pela Anatel e pelas autoridades da República Federativa do Brasil.

Porém ANATEL solicitou a remoção dessa lista:

Para liberação da lista você deve entrar em contato com Patrick Brandão

Crie um diretório onde iremos salvar nosso script:

# mkdir /etc/bind/scripts

Subi meu script no Github, mas iremos entrar na nossa pasta /etc/bind/scripts e baixar ele direto para nosso servidor.

# cd /etc/bind/scripts
# wget https://raw.githubusercontent.com/remontti/anablock_bind9/main/anablock_bind9.py

Esse scrip ira verificar verificar qual sua versão e sempre que existir uma nova ou se for sua primeira vez ele irá baixar a lista de todos os domínios e cria o arquivo db.rpz.zone.hosts com a lista completa de siste que serão bloqueados pelo seu DNS.

Script foi feito em python3 instale os pacotes necessários para executa-lo.

# apt install python3 python3-requests tree

Execute o script:

# python3 /etc/bind/scripts/anablock_bind9.py bloqueadonobrasil.remontti.com.br

Arquivo de zona RPZ atualizado.
Permissões do diretório alteradas com sucesso.
Serviço Bind9 reiniciado com sucesso.

# tree -h /var/cache/bind/rpz/

Seu diretório terá os seguintes arquivos

/var/cache/bind/rpz/
├── [159K]  db.rpz.zone.hosts
├── [ 46K]  domain_all
└── [  11]  version

Se você executar o script novamente nada irá acontecer até que uma nova versão seja lancada.

Para que tenhamos nossa lista sempre atualizada, colocamos o script para ser executado todos os dias a meia noite.

# echo '00 00   * * *   root    python3 /etc/bind/scripts/anablock_bind9.py bloqueadonobrasil.remontti.com.br'\ >> /etc/crontab
# systemctl restart cron

Testes

Agora faça um teste para ver o que seu servidor ira traduzir corretamente:

# dig 2filmestorrent.top @localhost

; <<>> DiG 9.11.5-P4-5.1+deb10u9-Debian <<>> 2filmestorrent.top @localhost
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42124
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: be484fb71dfe219dd9e6544465ae7d4b7e142ef750ed0d80 (good)
;; QUESTION SECTION:
;2filmestorrent.top.		IN	A

;; ANSWER SECTION:
2filmestorrent.top.	5	IN	CNAME	bloqueadonobrasil.remontti.com.br.
bloqueadonobrasil.remontti.com.br. 10800	IN A	x.x.x.x

;; Query time: 479 msec
;; SERVER: ::1#53(::1)
;; WHEN: seg jan 22 11:35:55 -03 2024
;; MSG SIZE  rcvd: 137

DNS SECUNDÁRIO's (SLAVE's)

Agora crie uma entrada zona chamada rpz.zone em seu /etc/bind/named.conf.local. em masters e also-notify informe os IPs de seus servidores Master.

# vim /etc/bind/named.conf.local

zone "rpz.zone" {
    type slave;
    file "/var/cache/bind/rpz/db.rpz.zone.hosts";
    masters { 10.51.51.2; };
    allow-notify { 10.51.51.2; };
};

Configure o response-policy

# vim /etc/bind/named.conf.options

Deve ficar dentro de options { ... } adcione:

options {
//...
    response-policy {
      zone "rpz.zone" policy CNAME bloqueadonobrasil.remontti.com.br;
      // ou
      // zone "rpz.zone" policy CNAME localhost;
      // 
    };
//...

Crie o diretório, de permissão, e reinicie o bind.

# mkdir /var/cache/bind/rpz/
# chown bind: /var/cache/bind/rpz/ -R
# systemctl restart bind9

Arquivo db.rpz.zone.hosts será criado dentro de /var/cache/bind/rpz/

# tree /var/cache/bind/rpz/

/var/cache/bind/rpz/
└── db.rpz.zone.hosts

Configurando uma Página de Bloqueio em Seu Servidor Web

Vou deixar exemplo com fazer isso em um Apache.Crie o diretório onde iremos criar nossa página:

# mkdir /var/www/bloqueadonobrasil

Apache

Crie o arquivo de configuração do apache.

# vim /etc/apache2/sites-available/bloqueadonobrasil.conf

<virtualhost *:80>
        Protocols h2 http/1.1
        ServerName bloqueadonobrasil.remontti.net.br
        ServerAlias x.xxx.xxx.x
        ServerAlias [xxxx:xxxx:xxxx:xxxx::x]

        ServerAdmin noc@remontti.com.br

        ErrorDocument 404 /index.php
 
        DocumentRoot /var/www/bloqueadonobrasil
 
        <Directory /var/www/bloqueadonobrasil/>
            Options FollowSymLinks
            AllowOverride All
            # Restringe o acesso apenas para os IPs do seu ISP
            Require ip 127.0.0.1 ::1 100.64.0.0/10 x.xx.xxx.x/22 xxxx:xxxx::/32
        </Directory>
 
        LogLevel warn 
        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined
</virtualhost>

Habilite a configuração e reinicie o Apache

# a2ensite bloqueadonobrasil.conf
# systemctl restart apache2

Instale o certbot para gerar um certificado ssl para o domínio

# apt install certbot python3-certbot-apache

Execute:

# certbot

Selecione seu domínio, e em sguinda reponda com No redirect

Which names would you like to activate HTTPS for?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: remontti.com.br
2: bloqueadonobrasil.remontti.com.br

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel): 2 <<<<<<<<<<<<<<<<<<<<
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for bloqueadonobrasil.remontti.com.br
Waiting for verification...
Cleaning up challenges
Created an SSL vhost at /etc/apache2/sites-available/bloqueadonobrasil-le-ssl.conf
Deploying Certificate to VirtualHost /etc/apache2/sites-available/bloqueadonobrasil-le-ssl.conf
Enabling available site: /etc/apache2/sites-available/bloqueadonobrasil-le-ssl.conf

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 1 <<<<<

Agora vou deixar um exemplo de página para ajudar você:

Vamos excluir o diretório que foi criado, já que estou prestes a baixar minha página, que, ao ser descompactada, conterá o mesmo nome.

# rm -rf /var/www/bloqueadonobrasil/
# cd /var/www/
# wget https://github.com/remontti/anablock_bind9/raw/main/bloqueadonobrasil.tar.gz
# tar -vxzf bloqueadonobrasil.tar.gz
# rm bloqueadonobrasil.tar.gz

Gostou? Se quiser apoiar o blog e fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Abraço!

O post Automatizando o bloqueio de sites no Brasil pelo DNS usando a API da anablock.net.br (BIND9+RPZ) apareceu primeiro em Remontti.